Shipyaariein in Mumbai ansässiges Softwareunternehmen, das Versandlogistik für große Verbrauchermarken anbietet, hat die persönlichen Daten von Tausenden seiner Kunden aufgrund einer monatelangen Verbreitung seiner internen Versandinformationen offengelegt.
Die exponierten Daten, entdeckt von Sicherheitsforschern Ashutosh Barot, enthalten die Namen, Adressen, Telefonnummern, Bestellrechnungsbeträge und den Lieferstatus von Shipyaari-Kunden. Laut Barot war die Kundenverfolgungsseite von Shipyaari nicht passwortgeschützt und konnte von jedem eingesehen werden, der die Webadresse hatte.
„Die offengelegten Informationen könnten später verwendet werden, um gezielte Social-Engineering-Angriffe und Finanzbetrug durchzuführen“, sagte Barot gegenüber Tech.
Der Forscher kontaktierte Shipyaari zunächst wegen der Exposition im Oktober 2021 und das Unternehmen versprach eine Lösung im Dezember. Es wurden einige Änderungen vorgenommen, die Belichtung wurde jedoch nicht behoben. Es wurde schließlich Ende Juli behoben, nachdem Tech sich über den Sicherheitsvorfall gemeldet hatte.
„Ich schätze Shipyaari für die Behebung des Problems und die Umsetzung von Empfehlungen“, sagte Barot.
Shipyaari behob das Risiko, indem es die personenbezogenen Daten (PII) der Kunden von der Tracking-Seite entfernte und den Zugriff mit einem einmaligen PIN-System (OTP) einschränkte. Später wurde das System aktualisiert, um böswillige Akteure daran zu hindern, automatisierte Angriffe zu starten.
„Datenschutz ist für uns von größter Bedeutung, und wir werden sicherstellen, dass solche Fälle in Zukunft nicht mehr vorkommen“, sagte Vishal Totla, Gründer von Shipyaari, in einer E-Mail-Antwort an Tech.
Totla sagte, dass Kunden-PII-Daten beim Laden nicht mehr auf der Seite angezeigt werden.
Shipyaari behauptet, täglich mehr als 5.000 Sendungen abzuwickeln. Das Unternehmen hat außerdem über 6.000 aktive Verkäufer im ganzen Land.
Barot betonte, dass Indien strenge Datenschutzgesetze benötige, um die zunehmenden Fälle von Datenoffenlegung und -lecks einzudämmen.
Anfang dieses Monats zog die indische Regierung das lang erwartete Gesetz zum Schutz personenbezogener Daten zurück, das gefördert wurde, um strenge Regeln zum Schutz der Privatsphäre seiner Bürger einzuführen. Die Gesetzgebung alarmierte Technologiegiganten und äußerte Bedenken darüber, wie sie sensible Benutzerinformationen verwalten könnten.